Un groupe d’ONG, a annoncé avoir saisi les autorités de protection de données de 5 pays Européens (Royaume-Uni, Italie, France, Grèce, Autriche) ce jeudi contre la start-up américaine Clearview AI (précédents articles), qui a constitué une immense base de données de visages (Plus de 3 milliards d’images en 2020) sur base de photos téléchargées automatiquement depuis les réseaux sociaux, des blogs personnels, des sites d’entreprise, etc. Clearview agit hors de tout cadre légal mais met pourtant à disposition des services de police et des institutions financières un service qui leur permet de rechercher des correspondances dans cette immense base de données.

Clearview avait suspendu il y a quelques mois son service au Canada, alors que l’autorité locale de protection des données l’accusait d’exercer une surveillance de masse illégale.

Publicité de Clearview AI

Mercredi 28 avril, les députés européens ont adopté une nouvelle réglementation permettant aux États membres d’imposer aux plateformes en ligne le retrait en une heure des messages, vidéos et photos faisant le jeu de la “propagande terroriste” à partir de l’année prochaine. Cette nouvelle réglementation européenne autorisera bientôt les États membres à nommer des autorités compétentes, qui seront chargées d’émettre des injonctions et de définir des sanctions, qui pourront grimper jusqu’à 4% du chiffre d’affaires mondial. Les fournisseurs de services concernés auront alors une heure après réception de l’injonction pour supprimer ou bloquer l’accès au contenu jugé problématique. Chaque procédure fera ensuite l’objet d’une vérification afin de vérifier que la décision de retrait ne viole pas les droits fondamentaux. Plusieurs dizaines d’organismes à l’image d’Amnesty International, Reporters sans frontières ou Human Rights Watch avaient déjà appelé au rejet de ce texte, qui pourrait pousser les plateformes à déployer des outils automatisés de modération de contenus politiques.

Le parlement européen

Nous y avions consacré un article la semaine passée : Moxie Marlinspike, développeur de Signal a démontré il y a quelques jours qu’il était d’une facilité déconcertante de pirater les terminaux Cellebrite, utilisés par les polices du monde entier pour scanner les smartphones de « suspects », pour peu que ceux-ci soient déverrouillés.

Suite à ce hack, Cellebrite annonçait hier que l’un des deux engins proposés aux forces de l’ordre (Physical Analyzer, l’autre étant l’UFED) ne supporterait plus le scan des iphones. Le même jour un avocat du Maryland aux USA demandait la révision de la condamnation de son client : « Par essence, la sécurité interne des appareils Cellebrite est si faible que n’importe quel appareil examiné peut à son tour corrompre le terminal Cellebrite et affecter tous les rapports passés et futurs. Les vulnérabilités pourraient donner des arguments aux avocats afin de contester l’intégrité des rapports légaux générés par le programme Cellebrite ».

Côté Signal, et sans lien avec ce premier sujet, l’application de messagerie a publié pour la seconde fois de son existence une demande légale de données faite par la justice américaine, à laquelle les seules données ayant pû être fournies sont la date de création du compte et la date du dernier message, c’est à dire les seules données que Signal possède sur n’importe lequel de ses utilisateurs. La demande ainsi que la réponse de Signal peuvent être consultés ici.


Ce qu’un policier pourrait lire la prochaine fois qu’il scanne un téléphone.

Dossier(s): Sécurité IT Tags: , ,

Le 29 mars, la police néerlandaise a saisi les serveurs du collectif technologique NoState, qui hébergeait plusieurs autres sites anarchistes comme 325, Montréal Counter-information, Act For Freedom Now !, North Shore Counter-Info et Enough 14. Cette opération a été faite dans le cadre d’une « enquête criminelle », mais nous n’avons pas pour l’instant d’autre précision.

 

Dossier(s): Reste de l'Europe Tags: ,

Dans une mise à jour de la version beta de l’application, publiée ce mardi soir et disponible pour les utilisateurs au Royaume-Uni, l’application Signal permet à présent d’envoyer une crypto-monnaie, le « Mobilecoin », développé depuis 2017, notamment par Moxie Marlinspike, le fondateur et développeur principal de Signal. Hier soir également, Signal mettait à jour les sources de Signal-Server, qui n’avaient pas été publiées depuis plusieurs mois. On devine maintenant que c’était la préparation de cette nouvelle fonctionnalité qui a justifié pour Signal de ne pas publier les sources du côté serveur. Notons que les sources des applications Android/iOS suffisent heureusement à garantir la sécurité des messages.

« Signal Payments » présente le Mobilecoin comme la première crypto-monnaie supportée par la plateforme (avant d’autres ?). La décision peut surprendre puisque des cryptomonnaies bien établies, et très sécurisées existent depuis plusieurs années, notamment le Monero. Mobilecoin est d’ailleurs largement inspiré du Monero (ainsi que du protocole de consensus Stellar) mais comporte des différences majeures avec celui-ci : le mobilecoin est « pré-miné », il y a donc 250 millions de pièces (tokens) existantes et il n’y en aura jamais plus. Ce pré-minage pose la question de savoir qui détient les pièces et comment elles ont été/seront distribuées. Signal défend l’utilisation du Mobilecoin car c’est une cryptomonnaie pensée pour l’utilisation sur des smartphones, qui nécéssite peu de puissance de calcul, aux transactions très rapides (quelques secondes). Mobilecoin est également critiquée pour sa dépence à la technologie « d’enclave sécurisée » SGX d’Intel, réputée vulnérable depuis plusieurs années, mais prévoit de cesser de l’utiliser dans le futur, et ne baserait pas ses fonctions sécuritaires de base sur cette technologie. Enfin, le Mobilecoin ne peut pour l’instant être acheté qu’auprès d’exchanges de crypto-monnaies  ce qui rend son acquisition compliquée par le commun des mortels.

Des envois de crypto-monnaies aussi simples qu’un message Signal ? Nous n’en sommes pas encore là, et les développeurs de Signal et de Mobilecoin devront répondre à de nombreuses question d’ici là, mais à l’heure où les campagnes de solidarité sont systématiquement censurées par les plateformes de paiement (Stripe, Paypal, Pot Commun,…) et de crowdfunding, la fonctionnalité montre tout de suite son intérêt. « Signal Payments » n’est disponible pour l’instant qu’au Royaume-Uni, avec un numéro +44, et sur le canal de mises à jour beta, la fonctionnalité peut-être désactivée entièrement.

Une amende de 10 millions de livres turques (un peu plus d’un million de dollars) a été imposée aux réseaux sociaux tels que Facebook, Instagram, Twitter, Periscope, Youtube et TikTok, qui n’ont pas nommé un représentant en Turquie avant la date limite légale. La nouvelle loi, entrée en vigueur en octobre en Turqui, (voir notre article) oblige les réseaux sociaux ayant plus d’un million de connexions par jour, tels que Twitter ou Facebook, à déclarer un représentant en Turquie et à respecter les tribunaux lorsqu’ils sont tenus de retirer une publication dans les 48 heures.

Si elles ne se conforment pas à ces exigences, les plateformes peuvent être sanctionnées par des amendes , une interdiction des revenus publicitaires et une réduction significative de leur bande passante. En outre, elles doivent assumer la responsabilité des « dommages causés » si elles ne retirent pas le contenu dans les 24 heures suivant une décision de justice. De plus, ces réseaux sociaux doivent s’assurer que les données des utilisateurs turcs sont stockées sur un serveur situé en Turquie, un aspect qui a été controversé en raison des craintes que cela puisse faciliter l’accès de la police turque à des données confidentielles. L’année dernière, la Turquie a bloqué l’accès à 408 000 sites web et a forcé la suppression de 40.000 tweets, 10.000 vidéos Youtube et 6.200 publications sur Facebook. Wikipédia, fermé pendant trois ans, n’a été rendu accessible qu’après un avis de la Cour constitutionnelle.

Mercredi 19 août, Facebook a décidé de s’attaquer aux « mouvements et organisations liés à la violence » en supprimant des pages et comptes enregistrés sur son réseau. Le communiqué officiel expliquant leur décision stipule : « Aujourd’hui, nous prenons des mesures contre les pages Facebook, les groupes et les comptes Instagram liés à des groupes anarchistes hors ligne qui soutiennent des actes violents durant les manifestations, à des organisations de milices basées aux États-Unis et à QAnon. (…) En ce qui concerne les groupes de milices et ceux qui encouragent les émeutes, dont certains peuvent s’identifier comme Antifa, nous avons commencé par supprimer plus de 980 groupes, 520 pages et 160 publicités de Facebook. » Le communiqué précise par ailleurs : « Et tout acteur ou groupe non-étatique correspondant au critère d’individu ou organisation dangereux sera banni de notre plateforme. » Les pages des collectifs anarchistes crimethInc et itsgoingdown, par exemple, ont été supprimées, parmi d’autres.

CrimethInc.

Le Parlement turc a adopté, mercredi 29 juillet, une loi qui donne toute latitude aux autorités pour censurer les contenus en ligne. Elle contraint les plates-formes de réseaux sociaux de plus de 1 million d’abonnés, telles que Facebook, YouTube, Twitter et d’autres, à nommer des représentants en Turquie afin de répondre à des plaintes concernant leurs contenus dans les 48 heures, sous peine de poursuites. Les entreprises refusant de désigner leurs représentants seront soumises à des amendes, des interdictions d’afficher de la publicité et des réductions de bande passante susceptibles de rendre leurs réseaux inutilisables.

La législation exige aussi que les fournisseurs stockent les données de leurs utilisateurs en Turquie et, au besoin, les transmettent au gouvernement. L’article 9 du texte précise que la loi « est régie par le président ». Le même jour, la présidence turque a publié un décret qui interdit aux fonctionnaires de l’Etat d’utiliser des applications mobiles « d’origine étrangère », invoquant des problèmes de sécurité.

Manifestation contre la censure d'internet en Turquie (archive)

Les manifestations de masse aux États-Unis ont propulsé l’application de messagerie sécurisée Signal parmi les applications les plus téléchargées du pays. Elle est à présent 8è au classement des apps les plus téléchargées dans la catégorie réseaux sociaux. Hier soir, Signal a déployé une mise à jour bien utile puisqu’il est désormais possible de flouter des visages dans une photo que l’on envoie : « Nous avons travaillé sur de nouvelles façons d’aider tous ceux et celles qui sont dans la rue pour le moment. Une chose est sûr, 2020 est une bonne année pour se couvrir le visage. La dernière version de Signal pour Android et iOS introduit une fonctionnalité de floutage dans son éditeur d’image. » En plus de cela, Signal distribuera de vrais masques gratuitement aux manifestant·e·s.

À partir d’aujourd’hui, notre ligne téléphonique de Legal Team, +32 456 20 06 42, sera ouverte de façon permanente (pour Bruxelles et la Belgique). Vous pouvez donc nous y contacter si vous faites face à la répression. Merci de toujours privilégier les messages écrits Signal. Vous pouvez également envoyer des messages via Whatsapp, Telegram ou SMS. Vous pouvez également appeler (via Signal, Whatsapp ou téléphone) s’il n’est pas possible d’envoyer un message. Toutes les infos sur la permanence légal-team se trouvent sur cette page.